Уязвимость использования службы автозаполнения логина в кросс-доменных iframes для атак clickjacking в Mozilla Firefox
Описание
Кросс-доменные iframes, содержащие форму для входа, распознаются службой автозаполнения логина и могут заполняться автоматически. Это используется в атаках clickjacking, а также для чтения данных через разделы в условиях динамической изоляции первой стороны.
Затронутые версии ПО
- Mozilla Firefox версии до 83
Тип уязвимости
- Clickjacking
- Нарушение изоляции данных между разделами
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Cross-origin iframes that contained a login form could have been recognized by the login autofill service, and populated. This could have been used in clickjacking attacks, as well as be read across partitions in dynamic first party isolation. This vulnerability affects Firefox < 83.
Cross-origin iframes that contained a login form could have been recog ...
Cross-origin iframes that contained a login form could have been recognized by the login autofill service, and populated. This could have been used in clickjacking attacks, as well as be read across partitions in dynamic first party isolation. This vulnerability affects Firefox < 83.
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2